I årevis har IT-sikkerhed været på top 3 over de fleste CIO’ers bekymringer, men de formår ikke at holde alle angreb på afstand.
Senest har Vestas fået data stjålet grundet et hackerangreb. Det er hverken den første eller den sidste virksomhed, der er bliver ramt af et cyberangreb.
Fordi ‘security by design’ stadig ikke anvendes i mange organisationer. For at forbedre området, må man sørge for al ny brugerdefineret software er sikker. En applikationsudviklingsplatform (LCDP) kan hjælpe med at sikre ikke kun nye applikationer, men også de eksisterende.
”Sikkerhedsbrud med vidtrækkende konsekvenser vil fortsat forekomme. Selvom ‘security by design’ sagtnes kunne være mere udbredt i dag, er virkeligheden, at størstedelen af virksomheder endnu ikke er designet med ‘security by design’ i tankerne – tilfældet er, at det vil tage år, før alle legacy-ansøgninger er udfaset. Hvad endnu værre er, at virksomhederne stadig benytter nyudviklede applikationer, der ikke er sikre. Det er en skam, fordi det i dag er muligt for applikationsudvikling og sikkerhed gå hånd i hånd, hvis blot man vælger at udvikle applikationer baseret på en Low-code-udviklingsplatforme (LCDP)”, siger José Casinha, Chief Information Security Officer for OutSystems.
Mere tid til at tænke på sikkerhed
Low-code-softwareudvikling bliver ofte anerkendt for den hastighed, hvormed man kan udvikle applikationer (fem, nogle gange ti, gange hurtigere, end når der programmeres med High-code). Hvad virksomheder ofte ikke er klar over, er, at Low-code også kan bidrage til at øge deres digitale sikkerhed. Fordi softwareudvikling med High-code tager så meget tid, og der er et konstant pres fra virksomheder for at levere software hurtigt, er opmærksomheden på sikkerhed ofte mindre. Ved at vælge Low-code- softwareudvikling er der ikke bare mere tid til at overveje sikkerheden, de fleste tiltag er allerede indlejret i udviklingsplatformen.
Teknologichefer (CTO’er) ved ofte, at en Low-code-udviklingsplatform (LCDP) tager sig af det ikke- funktionelle, såsom at sikre den infrastruktur, som applikationen kører på. Og de ved ofte, at ting som identitetsstyring og rollebaseret adgang for applikationsbrugere er temaer, der er indbygget i en LCDP. Ligesom rollebaseret adgang for softwareudviklere og politikker, hvor udviklere tjekker hinandens arbejde. Hvad de ikke ved er, at der er ret stor forskel på forskellige typer Low-code-udviklingsplatforme, og at den ene platform kan gå meget længere i funktionalitet end den anden.
En af de mere intelligente opgaver, som nogle LCDP’er tilbyder, er at analysere sikkerhedsangreb: hvordan udføres et angreb? Hvilke skridt tager angriberen? Og øvrig analyse af en masse data. Nogle LCDP’er har AI- og ML-algoritmer, der løbende opdateres med data om nye typer af cyberangreb.
Der er også platforme, der bruger AI og ML til hurtigt at identificere, hvornår der sker usikre ting på udviklingssiden. I så fald genkender platformen f.eks., hvornår et inputfelt er oprettet og tilbyder i den forbindelse løsninger, der kan hjælpe udvikleren med at sikre det inputfelt.
Hele datastrømmen skal sikres – ikke kun applikationen
”Mange Low-code-udviklingsplatforme (LCDP’er) tilbyder foruddefinerede skabeloner, som kan bruges til at udvikle applikationer. Nogle platforme har endda udviklet disse skabeloner på en sådan måde, at hele datastrømmen er sikret og ikke kun dataene i den relevante applikation. Normalt kan udviklere kun beskytte de kodelinjer, de programmerer. I så fald skal andre i IT-afdelingen (normalt en arkitekt) holde øje med datastrømmen og derfor med emnet ‘security by design’. Men hvis hele konteksten og det tilhørende dataflow bliver udgangspunkt for sikkerheden, overtager platformen en del af den pågældende arkitekts rolle”, fortæller José Casinha.
Life cycle management
En anden service, som mange Low-code-udviklingsplatforme (LCDP’er) tilbyder, er Life cycle management (LCM). DevOps-teams får besked, når det er tid til at gennemgå en applikation, der er i brug. Især nu, hvor virksomheder hurtigere og hurtigere skal tilpasse sig skiftende kundekrav, ændres det miljø en applikation fungerer i, i et hastigt tempo. Derfor er LCM blevet endnu vigtigere. I High-code-miljøer negligeres dette ofte, men Low-code-platforme, DevOps-teamene og CTO’en advarer om, at det er tid til en gennemgang. På den måde forhindrer man, at ti år gammel software, som ikke længere er sikker, bliver brugt et sted.
Gør ikke sikkerhed til en forhindring
Et andet emne, som leverandører med Low-code-systemer har tænkt grundigt over, er brugervenlighed. Tidligere var det ofte sådan, at det var meget besværligt for brugerne at få adgang til sikre applikationer. Igen og igen skulle de indtaste brugernavn, adgangskode og unik kode for at få adgang til en applikation. Dette er blevet meget bedre med single sign-on, men der er stadig mange virksomheder, hvor sikkerhedsforanstaltninger virker som uoverskuelige forhindringer, så medarbejderne gør alt, hvad de kan for at omgå dem. Low-code-udviklingsplatforme har øje for brugeroplevelsen. Skabelonerne er designet på en sådan måde, at de applikationer, der skal udvikles, er brugervenlige og let tilgængelige uden at gå på kompromis med sikkerhedsniveauet. Når selv banker bruger disse platforme til at udvikle bankapps, siger det noget om det høje sikkerhedsniveau.
Tag kontrol over din sikkerhedskæde
Kort sagt kan udvikling i Low-code yde et vigtigt bidrag til ‘security by design’. For det er nemt at sige, men meget sværere at gøre. Det vil sige, når du vil tage kontrol over hele sikkerhedskæden, og når dine softwareudviklere er ansvarlige fra A til Z for at sikre de applikationer, de bygger. Men hvis du stoler på en platform til softwareudvikling, der aktivt hjælper dig med at lave og holde dine applikationer sikre, så kan du fokusere på det, der virkelig betyder noget: dine forretningsudfordringer.
