Perusahaan Anda memiliki konsep hebat untuk aplikasi inovatif atau produk terhubung, dan Anda berada dalam fase awal papan tulis langit biru. Anda akan memiliki banyak peluang untuk mengembangkan rantai distribusi, membuat iklan yang menarik, dan memulai gebrakan di media sosial. Namun ada satu misi yang tidak bisa ditunggu. Saatnya untuk memulai dengan keamanan – dan itu termasuk menerapkan praktik keamanan yang baik saat mengembangkan produk baru.
Pakar teknologi akan memberi tahu Anda bahwa sulit untuk memperkuat keamanan setelah kejadian tersebut terjadi. Strategi yang paling masuk akal—dan strategi yang paling mungkin untuk mendapatkan kepercayaan konsumen—adalah membangun keamanan sejak awal. Melihat investigasi FTC, tindakan penegakan hukum, dan pengalaman yang dibagikan perusahaan kepada kami menunjukkan pentingnya memulai dengan keselamatan dalam pengembangan produk. Di bawah ini adalah contoh yang diambil dari sumber-sumber tersebut.
Latih teknisi Anda dalam pengkodean yang aman.
Penghargaan yang diberikan perusahaan Anda terhadap keamanan data yang baik tidak dapat dianggap remeh. . “. semacam itu. Ucapkan dengan jelas, jujur, dan sering. Ciptakan lingkungan kerja di mana karyawan Anda didorong di setiap tahap untuk mempertimbangkan keamanan dalam pengembangan produk. Dari konsep hingga pasar dan seterusnya, ungkapkan harapan Anda bahwa karyawan akan menjaga keamanan di Pengenalan prioritas mereka saat mengambil keputusan Pada akhirnya, ini adalah strategi terbaik bagi pelanggan Anda, reputasi perusahaan Anda, dan profitabilitas Anda.
contoh: Sebuah perusahaan yang meluncurkan produk perangkat lunak baru menekankan kepada insinyur perangkat lunaknya pentingnya pemrograman dengan cepat untuk memastikan produk tersebut sampai ke pasar secepat mungkin—dan para insinyur memenuhi tenggat waktu pemrograman internal. Namun hanya setelah produk tersebut berada di tangan konsumen barulah perusahaan menemukan bahwa para insinyur telah berulang kali membuat kode yang rentan terhadap kerentanan umum yang diketahui dan solusinya tersedia. Untuk memperbaiki masalah tersebut, perusahaan harus melakukan perbaikan yang mahal setelah masalah terjadi. Praktik yang paling efisien—dan paling hemat biaya—adalah jika perusahaan menekankan kepada para insinyur perangkat lunaknya pentingnya enkripsi yang aman selama proses pengembangan dan memberi mereka pelatihan yang diperlukan untuk memenuhi harapan ini.
Ikuti pedoman keamanan platform.
Memulai dengan keamanan tidak berarti memulai dari awal. Setiap platform besar memiliki pedoman pengembang untuk membantu menjaga keamanan data sensitif. Perusahaan yang bijaksana mempertimbangkan nasihat ini ketika merancang produk baru.
contoh: sebuah perusahaan Membuat aplikasi seluler untuk dua platform aplikasi berbeda. Kedua platform memerlukan enkripsi data saat transit dan keduanya memiliki antarmuka pemrograman aplikasi (API) yang menyediakan enkripsi standar industri. Dengan menggunakan API khusus platform dengan benar, teknisi perusahaan dapat membantu menjaga keamanan data.
Pastikan fitur keamanan berfungsi.
Menyimpan payung di mobil Anda adalah ide yang bijaksana, tetapi ujilah saat matahari bersinar. Jangan menunggu hujan lebat untuk menemukan bahwa tulang rusuknya bengkok atau pegangannya patah. Demikian pula, adalah bijaksana untuk memasukkan fitur keamanan ke dalam produk Anda, tetapi sebelum Anda memasuki pasar, pastikan fitur tersebut diaktifkan dan berjalan dengan benar.
Selain itu, jika Anda membuat klaim apa pun kepada konsumen tentang sifat keamanan yang diberikan oleh produk Anda, pernyataan tersebut harus jujur dan didukung oleh bukti yang Anda miliki sebelum Anda mulai menjual. “Tapi kami tidak membuat klaim apa pun mengenai keamanan.” Mungkin iya, tapi apakah kamu yakin? Berdasarkan Undang-Undang FTC, perusahaan bertanggung jawab atas semua pernyataan — tersurat maupun tersirat — yang dibuat oleh konsumen yang bertindak wajar dalam situasi tersebut dari materi pemasaran perusahaan. Hal ini mencakup data atau gambar yang dikirimkan melalui televisi atau radio, media cetak, situs web Anda, iklan online, kemasan, media sosial, kebijakan privasi, atau toko aplikasi. Perusahaan bebas menempatkan fitur keamanan di bagian depan materi pemasaran mereka selama mereka menghormati standar kebenaran dalam periklanan. Jadi, sebelum Anda memuji fitur keamanan produk Anda, pastikan fitur tersebut memenuhi janji Anda.
contoh: Sebuah perusahaan yang menjual aplikasi penganggaran keluarga menjalankan iklan yang mengklaim produknya memiliki “keamanan tingkat bank”. Namun perusahaan tersebut tidak memiliki program keamanan tertulis, tidak melakukan penilaian risiko, tidak melatih karyawannya dalam praktik keamanan informasi, dan gagal menerapkan praktik lain yang biasanya dikaitkan dengan “keamanan tingkat bank.” Dengan membuat pernyataan palsu atau tidak berdasar, perusahaan tersebut kemungkinan besar melanggar standar kebenaran dalam periklanan.
Uji kerentanan umum.
Apakah ada cara untuk membuat produk Anda 100% anti-retas? Tanpa kembali ke zaman kaleng-kaleng yang dihubungkan dengan tali, jawabannya adalah tidak. Namun ada beberapa langkah yang dapat Anda ambil untuk melindungi pelanggan Anda dari kerentanan yang diketahui yang dapat dicegah dengan alat keamanan yang terbukti benar. Kabar baiknya adalah banyak dari alat-alat ini gratis atau tersedia dengan biaya rendah. Sebelum meluncurkan produk Anda, pastikan sudah siap untuk prime time. Ujilah untuk memastikan Anda telah membangun pertahanan terhadap risiko yang diketahui.
Tentu saja, ancaman baru muncul secara berkala, itulah sebabnya keamanan harus menjadi proses dinamis dalam bisnis Anda. Protokol keamanan yang Anda terapkan untuk produk tahun lalu mungkin tidak memadai untuk versi 2.0. Bagaimana Anda bisa tetap fokus dalam mempertahankan diri dari ancaman terbaru? Ada perdebatan publik yang kuat di antara para peneliti, pakar teknologi, anggota industri, lembaga pemerintah, dan pihak-pihak lain yang berkomitmen terhadap keamanan. Ikuti diskusi mereka di situs web tepercaya, perhatikan peringatan mereka tentang risiko baru, dan tinjau keputusan desain Anda dengan tepat.
contoh: Aplikasi lomba 10K mengharuskan pendaftar memasukkan nama, alamat, tanggal lahir, nomor kartu kredit, dan waktu tercepat untuk lomba 10K. Data disimpan dalam database SQL yang mengumpulkan data dari acara balap di seluruh negeri. Penyelenggara acara tidak berkonsultasi dengan sumber daya gratis untuk mengetahui risiko keamanan, dan mereka tidak pernah melakukan analisis kode atau pengujian penetrasi untuk menilai apakah aplikasi mereka rentan terhadap serangan injeksi SQL. Dengan selalu mengetahui sumber daya gratis—misalnya, Proyek Sepuluh Teratas OWASP—penyelenggara acara dapat mengurangi risiko informasi pribadi kontestan terekspos oleh akses tidak sah.
contoh: Perusahaan aplikasi secara rutin berkonsultasi dengan sumber daya publik seperti US-CERT untuk mendapatkan informasi terkini tentang ancaman dunia maya. Perusahaan menyadari bahwa produk yang dikembangkannya mengandung kerentanan keamanan yang mulai dieksploitasi oleh beberapa peretas. Dengan mendeteksi masalah sejak dini dan menerapkan perbaikan yang tepat, perusahaan melindungi pelanggan dan reputasinya.
Apa yang dapat dipelajari oleh perusahaan dari contoh-contoh ini? Membangun keamanan dari awal adalah pendekatan inovasi yang hemat biaya.
Seri berikutnya: Pastikan penyedia Anda menerapkan langkah-langkah keamanan yang wajar