Daha Güvenli Bir Gelecek İnşa Etmek: Geliştiriciler Siber Güvenliğe Nasıl Öncelik Verebilir?


Jeremy Butteriss, EGM Ekosistemi ve Ortaklıkları, Xero

Ekosistemlerin yükselişinde ikonik bir an, 1999 Microsoft .NET sunumunda Steve Ballmer’ın sahnede ‘geliştiriciler, geliştiriciler, geliştiriciler’ demesidir. O zamanlar geliştiricilerin platformlarının başarısı için ne kadar önemli olacağı konusunda ekiplerini ikna etmeye yardımcı olmak için bu sözleri tekrarlayarak yeni bir çığır açıyordu. Ve tabii ki 2008’de Steve Jobs, iPhone’u ve App Store’u piyasaya sürdü; bu, muhtemelen dünyayı değiştiren ve yeni geliştiricilerin büyük bir yükselişine yol açan bir zaman dilimiydi. Bu anların her ikisi de teknoloji platformlarının gelişinin sinyalini verdi ve gelişen geliştirici endüstrisinin onları başarıya ulaştırmada sahip olacağı önemli rolü sağlamlaştırdı.

Bugün, geliştiricilerin ve onların içinde faaliyet gösterdikleri platformların ve ekosistemlerin olmadığı bir dünyayı hayal etmek zor. Başlangıçta Microsoft ile kurumsal B2B platformları ve ardından Apple App Store ile B2C platformları üzerinde yoğunlaşılmış olsa da, platformlar artık çok daha yaygın ve yaygın hale geldi. kapsamları geniştir. Konaklama, inşaat ve e-ticaret gibi sektörlerdeki dikey platformlar; finansal hizmetler ve CRM gibi alanlardaki yatay platformlar; ve hatta platformlar için platformlar. Bunlar müşterileri için bir tür iş işletim sistemi haline geldi. Giriş engellerini azaltarak ve geniş müşteri havuzlarına erişim sağlayarak geliştiriciler için çok büyük fırsatlar yaratıyorlar. Buna karşılık, geliştiriciler bu platformların geniş bir yelpazede tamamlayıcı hizmetler sunmasına, kullanıcı başına ortalama geliri (ARPU) artırmasına ve müşteriyi elde tutma oranını artırmasına olanak tanıyor.

Dijitalleşmenin yükselişi

Bulut platformları ve ekosistemler, teknolojinin yaygınlaşmasıyla giderek birbirine bağlanan bir dünyanın parçasıdır. Birçok ülke ve hükümet bunun farkına varıyor ve ekonomilerinin dijitalleşmesini olabildiğince hızlı bir şekilde hızlandırıyor. Bu değişim, özellikle yeni pazarlar açıldıkça platformlar ve geliştiriciler için daha fazla fırsat anlamına geliyor. Ancak bu aynı zamanda artan düzenleme, rekabet ve siber güvenlik risklerinden kaynaklanan daha büyük talepler anlamına da geliyor.

Bu dijitalleşme değişiminin bir parçası olarak, giderek daha fazla iş ve işlem verisi çevrimiçi ortama taşınıyor ve özellikle kötü niyetli aktörler daha karmaşık hale gelip yapay zekayı kullanırken, veriler siber güvenlikle ilgili sorunlar açısından daha büyük bir riske maruz kalıyor. Küçük kuruluşlar özellikle savunmasızdır ve genellikle kendi siber güvenliklerine yatırım yapacak ve bunu sürdürecek kaynaklara veya uzmanlığa sahip değildir. Geliştiriciler de bunun farkında: Küçük işletme bulut muhasebe platformu Xero tarafından yakın zamanda yayınlanan bir anket, yarıdan fazlasının (%56) veri gizliliği ve güvenliğinin öncelikli konu olduğunu söylediğini ve %15’inin 12. yılda siber güvenlik sorunlarıyla karşılaştığını bildirdiğini gösteriyor. aylar öncesinden. Siber güvenlik olayları arttıkça, daha fazla geliştiricinin veri güvenliğine ve müşteri verilerinin uygun şekilde korunmasına odaklandığı açıkça görülüyor.

Hükümet ve finans kurumları, tüketicileri ve işletmeleri korumaya yardımcı olan yeni düzenleme ve politika gereklilikleri getirerek yanıt veriyor. Ayrıca platformların kendisi de sorumlu veri kullanımı ve API güvenlik standartları gibi önemli konularda kendi politikalarını belirliyor. Bu politikalar, platformların dahili ve harici olarak nasıl çalışacağına ve buna bağlı olarak geliştiriciler de dahil olmak üzere bağlantı kuracakları üçüncü taraflara ilişkin beklentileri belirler.

Dijitalleşme dalgasından yararlanmak isteyenler için ek siber güvenlik, düzenleme ve platform gerekliliklerinde gezinmek, özellikle de hızlı bir şekilde ölçeklendirmek isteyenler için külfetli olabilir. Bulut platformları kendi standart ve politikalarından bazılarını uygularken aynı zamanda ölçek ve kaynak avantajını da taşıyor. Yalnızca güvenliğe yatırım yapmak ve mevzuat değişikliklerine ayak uydurmakla kalmıyorlar, aynı zamanda daha düşük maliyetle ve daha fazla güvenilirlikle pazara ve teknolojiye erişime yönelik ek yollar da sağlayabiliyorlar. İşletmelerin operasyonlarını yürütmelerine ve finansal bilgilerini yönetmelerine yardımcı olacak çözümler geliştirmek isteyen geliştiriciler, platformların sağladığı ölçeklenebilir ve güvenli ortamlardan yararlanabilir. Düzenleyici standartlar ve siber güvenlik özellikleri, baştan sona uygulamalara ve çözümlere dönüştürülerek son kullanıcılara güvence sağlanabilir.

İnşa etmeyi mümkün kılmak için inşa etmek.

Bazı küçük geliştiriciler için hem iç hem de dış standartların birleşimi ekstra bir yük ve giriş engeli olabilir. İster bir ekosistemi OAuth 1.0’dan OAuth 2.0’a geçirmeye yönelik bir platform politikası kararı olsun, ister çok faktörlü kimlik doğrulamaya (MFA) yönelik artan düzenleyici gereksinimler olsun, artan uyumluluk iş yükü, bir ürün oluşturmaya yönelik değerli zamandan tasarruf sağlar. Platformlar giderek artan bir şekilde bu yükün farkına varıyor ve yükü azaltmak için gereken kullanıma hazır araçlar oluşturmaya yatırım yapıyor. Bunun temelinde, yardıma ihtiyacı olan veya daha derin bir inceleme yapmak isteyen geliştiriciler için kapsamlı belgeler, eğitim ve destek bulunmaktadır.

Bunun bir örneği, Xero, Okta veya Google kullanarak Tek Oturum Açma gibi, müşteriler için uygulamalara kaydolmayı ve oturum açmayı kolaylaştıran, kullanıcı erişimi ve kimlik bilgilerine yönelik geniş yelpazedeki kimlik araçlarıdır. Geliştiriciler, katılım ve oturum açma akışlarının bir parçası olarak platformun güvenliği dahilinde mevcut müşteri ayrıntılarından yararlanabilirler. Ayrıca bazı platformlar, oturum açma akışlarının bir parçası olarak tamamlayıcı MFA araçlarını zaten oluşturmuştur. Bu, özellikle ürünlerine ek güvenlik protokolleri eklemek isteyen geliştiriciler veya dijital hizmet sağlayıcılar için MFA’nın zorunlu olduğu Avustralya gibi ülkelerde faaliyet gösteren veya çalışmak isteyen geliştiriciler için kullanışlıdır. Verizon’un araştırması, MFA’nın veri ihlallerini %80’e kadar önleyebildiğini gösteriyor; bu da onu özellikle kimlik bilgilerinin tehlikeye girmesi durumunda müşteri verilerini korumanın en etkili yöntemlerinden biri haline getiriyor.

Square, Stripe ve Shopify gibi satış noktası ve ödeme platformlarının tümü güvenli ve kolay entegre ödeme ve ödeme çözümleri sunar, böylece geliştiricilerin kendi çözümlerini oluşturmalarına gerek kalmaz. Bu, son derece düzenlemeye tabi bir küresel sektör olan ödemeleri doğrudan yönetmenin getirdiği artan uyumluluk, risk ve güvenlik yüklerinden kaçınmaya yardımcı olur.

Platformlar ayrıca özel ekipler ve araçlarla API’lerinin çalışmasını ve güvenliğini sürekli olarak izler. İstek hacimlerindeki ani artışlar veya web kancası hataları gibi sorunlar veya olağandışı davranışlar, araştırma için anında işaretlenebilir, böylece platformların hızlı bir şekilde yanıt vermesine ve geliştiricilere bildirimde bulunmasına olanak sağlanır. Bir üründe veya özellikte yavaşlama veya kesinti olabileceği durumlarda bu, her iki tarafın da durum güncellemeleri veya hızlı çözüm yoluyla son kullanıcılar için müşteri deneyimini yönetmesine yardımcı olur.
Geliştiricilerin yükünü ve giriş engellerini azaltmak, bir platformda yenilikçiliği ve denemeyi teşvik eder. Geliştiricilerin platform düzeyinde siber güvenlik özellikleriyle desteklenmesiyle, en iyi yaptıkları işe, yani sorunları çözmeye ve yenilik yapmaya odaklanmak için zamanları serbest kalıyor. Bu sonuçta platformu kullanabilen ve ilgili entegrasyonları daha güvenle seçebilen son kullanıcı müşterilere fayda sağlar.

Temel konulara odaklanma zamanı

Bulut platformlarının siber güvenlik alanında yaptığı çalışmalardan hem geliştiriciler hem de son kullanıcılar yararlanıyor. Geliştiriciler, güvenli bir ortam sağlayan platformları belirlemeye ve onlarla çalışmaya öncelik vererek, her iki tarafın verilerinin güvenliğine de öncelik veriyor. Aynı zamanda ürünlerini ve çözümlerini geliştirmek için harcanacak kaynakları da serbest bırakıyorlar ve müşterilerin istediği özelliklerin geliştirilmesine zaman harcanmasını sağlıyorlar.

Ancak platformların geliştiricilerin üzerindeki güvenlik yükünün büyük bir kısmını üstlenmesine rağmen, çözüm üretirken boş durmaya izin yok. Uygulamalar ve entegrasyonlar oluştururken ek güvenlik katmanları oluşturmak için geliştiricilerin ve platformların yaptığı işi desteklemesi gereken birçok başka temel güvenlik uygulaması ve süreci vardır:

  • Şifreleme – sistemler ve veritabanları arasında şifreleme kullanmak bariz görünebilir, ancak temel düzeydeki ek veri koruması, platformların sunduklarını tamamlar. AWS, Azure veya Google Cloud Platform, genellikle şifrelemeyi güvenli bir şekilde uygulamanın kolay bir yolu olan yerleşik şifreleme araçları ve mekanizmaları sağlar. Ancak şifrelemeyi uygulamak her zaman basit bir işlem değildir. Xero’da geliştiricilerin, hangi algoritmaların kullanılacağı, benzersiz anahtarlar oluşturulup güvence altına alınacağı da dahil olmak üzere tüm hususlarla sürekli olarak uğraştığını görüyoruz.
  • Güvenlik açığı yönetimi OWASP Top 10 gibi güvenli kod geliştirme için endüstri tarafından kabul edilen kılavuzların kullanılması ve yetkisiz erişimi ve gizlice dinlenmeyi önlemek için HTTPS veya benzer güvenli protokolü kullanarak bir uygulama ile yetkilendirme sunucuları arasında güvenli iletişimin sağlanması.
  • Sürekli tetikte olma güvenlik ve şifreleme etrafında. Ortaya çıkan tehditlere karşı koymak için mevcut yeni standartlar ve araçlarla birlikte ortam sürekli değişiyor. Platformlarla entegrasyon bunun yönetilmesine yardımcı olur, ancak bu ‘tek ve bitmiş’ bir çözüm değildir. Platformların sağladığı güvenlik izleme uygulamaları, ihlal raporlaması, tehditlerin çok geç olmadan tespit edilmesine ve yönetilmesine yardımcı olur. Bunu hem uygulama düzeyinde hem de olaya dayalı eylemlerde uygun denetim günlükleriyle yedeklemek, olağandışı etkinliklerin hızlı bir şekilde tanımlanmasını ve izlenmesini kolaylaştırabilir.
  • Veri barındırma ve üçüncü taraf risk değerlendirmeleri. Son yıllarda, her şeyi doğru yapsak bile, entegre olduğunuz diğer araçlar veya platformlar aracılığıyla verilerin tehlikeye atılabileceğini birçok kez gördük. Geliştiricilerin bu kararları verirken ülke, yasal, sözleşmeye bağlı, erişim, egemenlik ve karşı taraf riskleri dahil çok sayıda değişkeni dikkate alması gerekiyor. İdeal olarak müşteri verileri, ele geçirilebileceği, tehlikeye girebileceği veya erişime kapalı hale getirilebileceği yüksek riskli alanlarda barındırılmaz.

Güvenlik ve fırsat

Küçük işletmeler, küresel ekonominin önemli ve çoğunlukla hafife alınan itici güçlerinden biridir ve siber güvenlik söz konusu olduğunda en fazla risk altında olanlardan biridir. Bu sektörün dijitalleşmesi, platformlara ve geliştiricilere küçük işletmelerin güvenli bir şekilde büyümesine yardımcı olacak çözümler sunma konusunda büyük bir fırsat sunuyor. Xero gibi platformların güvenlik yatırımından, kaynaklarından ve ölçeğinden yararlanmak, bu dijital geçiş gerçekleşirken geliştiricilerin bunu mümkün olduğunca sorunsuz hale getiren uygulamalar ve entegrasyonlar oluşturmaya odaklanabileceği anlamına geliyor. Tüketici ve iş verilerinin gizliliği ve güvenliği, küresel ekonominin bu büyük ancak savunmasız kısmına ilişkin bilgilerin işlenmesinde en önemli önceliktir. Bunu başarmak için geliştiriciler, siber güvenlik ve BT uzmanları, son kullanıcılar ve kullandıkları platformlar da dahil olmak üzere tüm tarafların sürekli çaba göstermesi gerekir.

Sonuç olarak, inovasyon odaklı bir dünyada yaşamak oldukça heyecan verici; ancak eski hikayeye göre, büyük güç daha fazla sorumluluk getirir. İster ticari ister tüketici kullanım durumları için olsun, uygulama geliştiricileri ve siber güvenlik profesyonellerinin, müşteriler için en güvenli seçenekleri desteklemek amacıyla sinerjik düzeylerde çalışmaları gerekir.

yazar hakkında

Daha Güvenli Bir Gelecek İnşa Etmek: Geliştiriciler Siber Güvenliğe Nasıl Öncelik Verebilir?Jeremy Butteriss ve ben, küçük işletme muhasebe platformu Xero’da Ekosistem ve Ortaklıklar İdari Genel Müdürüyüz. ABD ortaklıklarını geliştirerek, yazılımı entegre ederek ve müşterilerin ve iş ortaklarının yeni çözümler keşfetmesine yardımcı olarak Xero’nun platformunu geliştirmekten sorumluyum.

Jeremy’yi LinkedIn’de bulabilirsiniz:

https://www.linkedin.com/in/jbutteriss/?originalSubdomain=ca.



Source link